本頁面由 Cloud Translation API 翻譯而成。

使用資料安全防護機制管理

本文說明如何啟用及使用資料安全防護機制管理 (DSPM)。

啟用 DSPM

如要在機構層級啟用 DSPM，請完成下列步驟：

如要取得啟用 DSPM 所需的權限，請要求管理員為您授予機構的下列 IAM 角色：
- 機構管理員 (roles/resourcemanager.organizationAdmin)
- 安全中心管理員 (roles/securitycenter.admin)
如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。
使用下列任一方法啟用 DSPM：
- 如果尚未在貴機構啟用 Security Command Center，請啟用 Security Command Center Enterprise。
- 如果您已啟用 Security Command Center 的 Enterprise 服務層級，請使用「啟用 DSPM」頁面新增 DSPM。
  前往「啟用 DSPM」頁面
啟用探索功能，找出要透過 DSPM 保護的資源。

啟用 DSPM 時，系統也會啟用下列服務：

法規遵循管理員建立、套用及管理資料安全架構和雲端控制項。
Sensitive Data Protection 使用資料私密信號進行預設資料風險評估。
Event Threat Detection (Security Command Center 的一部分) 位於機構層級，可使用資料存取權管理雲端控管機制和資料流程管理雲端控管機制
AI Protection，協助保護 AI 工作負載的生命週期。

啟用 DSPM 時，系統會建立 DSPM 服務代理 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)。

如要瞭解 DSPM Identity and Access Management 角色，請參閱機構層級啟用的 Identity and Access Management。

使用 DSPM 資訊主頁

完成下列動作，即可使用資訊主頁分析資料安全性狀態。

如要取得使用 DSPM 資訊主頁所需的權限，請要求管理員在貴機構中授予下列 IAM 角色：
- 資料安全狀態管理管理員 (roles/dspm.admin)
- 安全中心管理員 (roles/securitycenter.admin)
- 如要取得唯讀存取權：
  - 資料安全防護機制管理資源檢視者 (roles/dspm.viewer)
  - 安全中心管理員檢視者 (roles/securitycenter.adminViewer)
如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。
使用 DSPM 資訊主頁探索資料及分析風險。啟用 DSPM 後，您就能立即評估環境是否符合資料安全和隱私權基本架構。

在控制台中，按一下「資料安全與法規遵循」下方的「資料保護」分頁標籤。

前往資料安全資訊主頁

你可以查看的資訊如下：
- 資料地圖探索工具
- 資料安全性發現項目
- 已套用資料安全控管措施和架構的深入分析
您可以利用這些資訊檢查並修正結果，讓環境更符合安全性與法規遵循要求。

從機構層級查看資訊主頁，並在已啟用應用程式的資料夾中部署應用程式時，您可以選取應用程式來篩選資訊主頁，只顯示適用於該應用程式的發現和洞察資料。查看資料時，請考量下列掃描延遲時間：
- 頂端發現項目面板可能顯示過時的資源設定資料。舉例來說，發現事項的主要資源可能與過時的應用程式相關聯。
- 應用程式選取器可能不會顯示過去 24 小時內建立的應用程式和資源註冊。
啟用 Security Command Center 後，資料地圖探索器可能需要 24 小時，才能從 Security Command Center 和 Cloud Asset Inventory 填入所有資料。

建立自訂資料安全架構

如有需要，請複製資料安全與隱私權基本架構，並根據資料安全和法規遵循規定進行自訂。如需操作說明，請參閱「套用架構」。

部署進階資料安全雲端控制項

視需要將進階資料安全雲端控制項新增至自訂架構。您必須先完成額外設定，才能部署這些控制項。如需部署雲端控管機制和架構的操作說明，請參閱「套用架構」。

您可以在 App Hub 的啟用應用程式的資料夾中，將包含進階資料安全雲端控制項的架構，部署至機構、資料夾、專案和應用程式。如要針對應用程式部署進階資料安全雲端控制項，架構只能包含這些控制項。您必須選取已啟用應用程式管理功能的資料夾，以及要讓雲端控制項監控的應用程式。系統不支援主專案中的應用程式。

請考量下列事項：

請參閱各項進階資料安全雲端控制項的資訊，瞭解相關限制。

請按照下表說明，完成每項規則的相關工作。

規則	額外設定
資料存取控管雲端控制項	為 Cloud Storage 和 Vertex AI 啟用資料存取稽核記錄 (適用於您的環境)。將資料存取權限類型設為 `DATA_READ`。視套用「資料存取權管理」雲端控管機制的層級而定，在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。使用下列其中一種格式，新增一或多個允許的主體 (最多 200 個主體)：使用者 `principal://goog/subject/USER_EMAIL_ADDRESS` 範例：`principal://goog/subject/alex@example.com` 群組：`principalSet://goog/group/GROUP_EMAIL_ADDRESS` 範例：`principalSet://goog/group/my-group@example.com`
資料流程管理雲端控制項	為 Cloud Storage 和 Vertex AI 啟用資料存取稽核記錄(適用於您環境中的情況)。將資料存取權限類型設為 `DATA_READ`。視套用「資料存取權管理」雲端控管機制的層級而定，在機構或專案層級啟用資料存取記錄。確認只有授權主體可豁免於稽核記錄。豁免稽核記錄的主體也會豁免 DSPM。使用 Unicode 通用區域資料庫 (CLDR) 中定義的國家/地區代碼，指定允許的國家/地區。
資料保護和金鑰管理雲端控制	在 BigQuery 和 Vertex AI 中啟用 CMEK。
資料刪除雲端控制項	設定保留期限。舉例來說，如要將保留期限設為 90 天 (以秒為單位)，請將保留期限設為 `777600`。

後續步驟

查看資料安全性相關發現項目。